ThinkPHP3.1版增加了表单提交的字段合法性检测,可以更好的保护数据的安全性。这一特性是3.1安全特性中的一个重要部分。
表单字段合法性检测需要使用create方法创建数据对象的时候才能生效,具体有两种方式:
一、属性定义
可以给模型配置insertFields 和 updateFields属性用于新增和编辑表单设置,使用create方法创建数据对象的时候,不在定义范围内的属性将直接丢弃,避免表单提交非法数据。
insertFields 和 updateFields属性的设置采用字符串(逗号分割多个字段)或者数组的方式,例如:
class UserModel extends Model{ protected $insertFields = array('account','password','nickname','email'); protected $updateFields = array('nickname','email'); }
设置的字段应该是实际的数据表字段,而不受字段映射的影响。
在使用的时候,我们调用create方法的时候,会根据提交类型自动识别insertFields和updateFields属性:
D('User')->create();
使用create方法创建数据对象的时候,新增用户数据的时候,就会屏蔽'account','password','nickname','email' 之外的字段,编辑的时候就会屏蔽'nickname','email'之外的字段。
下面是采用字符串定义的方式,同样有效:
class UserModel extends Model{ protected $insertFields = 'account,password,nickname,email'; protected $updateFields = 'nickname,email'; }
二、方法调用
如果不想定义insertFields和updateFields属性,或者希望可以动态调用,可以在调用create方法之前直接调用field方法,例如,实现和上面的例子同样的作用:
在新增用户数据的时候,使用:
$User = M('User'); $User->field('account,password,nickname,email')->create(); $User->add();
而在更新用户数据的时候,使用:
$User = M('User'); $User->field('nickname,email')->create(); $User->where($map)->save();
这里的字段也是实际的数据表字段。field方法也可以使用数组方式。
使用字段合法性检测后,你不再需要担心用户在提交表单的时候注入非法字段数据了。显然第二种方式更加灵活一些,根据需要选择吧!
本文向大家介绍ThinkPHP3.1新特性之G方法的使用,包括了ThinkPHP3.1新特性之G方法的使用的使用技巧和注意事项,需要的朋友参考一下 长期以来ThinkPHP都是需要通过debug_start、debug_end方法甚至Debug类才能完成那些调试的功能,而在ThinkPHP3.1版本中,这些复杂的功能被一个简单的G方法取代了,这不可不谓是一次华丽升级。 G方法的作用包括标记位置和区
本文向大家介绍ThinkPHP3.1新特性之Action参数绑定,包括了ThinkPHP3.1新特性之Action参数绑定的使用技巧和注意事项,需要的朋友参考一下 ThinkPHP3.1版的Action参数绑定功能提供了URL变量和操作方法的参数绑定支持,这一功能可以使得你的操作方法定义和参数获取更加清晰,也便于跨模块调用操作方法。这一新特性对以往的操作方法使用没有任何影响,你也可以用新的方式来改
本文向大家介绍ThinkPHP3.1新特性之多层MVC的支持,包括了ThinkPHP3.1新特性之多层MVC的支持的使用技巧和注意事项,需要的朋友参考一下 1.模型(Model)层:默认的模型层由Model类构成,但是随着项目的增大和业务体系的复杂化,单一的模型层很难解决要求,从3.1开始推出了多层Model的支持,设计思路很简单,不同的模型层仍然都继承自系统的Model类,但是在目录结构和命名规
本文向大家介绍ThinkPHP3.1新特性之命名范围的使用,包括了ThinkPHP3.1新特性之命名范围的使用的使用技巧和注意事项,需要的朋友参考一下 ThinkPHP3.1的命名范围功能,给模型操作提供了一系列的(连贯操作)封装,让你更方便的查询和操作数据。下面我们就来具体了解下这一用法。 1.定义属性 要使用命名范围功能,主要涉及到模型类的_scope属性定义和scope连贯操作方法的使用。
本文向大家介绍ThinkPHP3.1新特性之查询条件预处理简介,包括了ThinkPHP3.1新特性之查询条件预处理简介的使用技巧和注意事项,需要的朋友参考一下 以往的ThinkPHP3.0版本对数组方式的查询条件会进行安全过滤(这是由于3.0强制使用了字段类型检测,所以数组方式的查询条件会强制转换为字段的设定类型),但是3.0版本并不支持字符串条件的安全过滤。而ThinkPHP3.1版本则增加了对
本文向大家介绍ThinkPHP3.1新特性之多数据库操作更加完善,包括了ThinkPHP3.1新特性之多数据库操作更加完善的使用技巧和注意事项,需要的朋友参考一下 通常情况下,如果一个应用只是操作同一个数据库(或者分布式数据库)的话,你只需要在项目配置文件中定义数据库连接信息即可。这里说的多数据库操作一般指的是在一个应用中会操作不同的数据库(包括同类型的和不同类型的数据库),甚至包括动态切换多数据